火星財經消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由於自身的安全意識不足,洩露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。 MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=”false” 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。 MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標iCloud 裡恢復MetaMask iOS App 錢包的相關數據。慢霧安全團隊經過實測通過iCloud 恢復數據後再打開MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的複雜度較低就會存在被破解的可能。
火星財經訊